Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per accedere a un key vault da dietro un firewall, l'applicazione client deve essere in grado di accedere a più endpoint per le seguenti funzionalità:
- Authentication: endpoint Microsoft Entra per l'autenticazione dell'entità di sicurezza. Per altre informazioni, vedere Authentication in Azure Key Vault.
- Management (piano di controllo): endpoint di Azure Resource Manager per la creazione, la lettura, l'aggiornamento, l'eliminazione e la configurazione degli Azure Key Vault.
-
Accesso al piano dati: endpoint specifici di "Key Vault" (ad esempio nel caso di
https://yourvaultname.vault.azure.net) per accedere e gestire chiavi, segreti e certificati.
A seconda della configurazione e dell'ambiente, esistono alcune variazioni.
Annotazioni
Per indicazioni complete sulla sicurezza di rete, incluse le opzioni di configurazione del firewall dalla più restrittiva alla meno restrittiva, vedere Secure your Azure Key Vault: Network security and Configurare la sicurezza di rete per Azure Key Vault.
Porte
Tutto il traffico verso un archivio di chiavi per tutte e tre le funzioni (autenticazione, gestione e accesso al piano dei dati) passa attraverso HTTPS sulla porta 443. Tuttavia, si verifica occasionalmente traffico HTTP (porta 80) per i controlli dell'elenco di revoche di certificati (CRL). I client che supportano il Protocollo di Stato del Certificato Online (OCSP) non devono raggiungere il CRL, ma possono accedere occasionalmente agli endpoint CRL elencati in Azure CA dettagli.
Endpoint di autenticazione
Le applicazioni client del Key Vault devono accedere agli endpoint di Microsoft Entra per l'autenticazione. L'endpoint usato dipende dalla configurazione del tenant Microsoft Entra, dal tipo di entità (entità utente o entità servizio) e dal tipo di account (ad esempio, un account Microsoft o un account aziendale o dell'istituto di istruzione). Per altre informazioni sull'autenticazione, vedere Authentication in Azure Key Vault.
| Tipo principale | Punto finale:porta |
|---|---|
| Utente che usa account Microsoft (ad esempio, user@hotmail.com) |
login.live.com:443 Globale: login.microsoftonline.com:443 Microsoft Azure gestito da 21Vianet: login.chinacloudapi.cn:443 Azure Governo Statunitense: login.microsoftonline.us:443 |
| Utente o principale del servizio usando un account aziendale o scolastico con Microsoft Entra ID (ad esempio, user@contoso.com) |
Globale: login.microsoftonline.com:443 Microsoft Azure gestito da 21Vianet: login.chinacloudapi.cn:443 Azure Governo Statunitense: login.microsoftonline.us:443 |
| Utente o entità servizio che utilizza un account aziendale o dell'istituto di istruzione, insieme a Active Directory Federation Services (AD FS) o un altro endpoint federato (ad esempio, user@contoso.com) | Tutti gli endpoint per un account aziendale o dell'istituto di istruzione, oltre ad AD FS o ad altri endpoint federati |
Per altre informazioni su scenari e flussi di autenticazione, vedere Microsoft Entra flusso di autenticazione, Integrating Applications with Microsoft Entra ID e Active Directory Authentication Protocols.
Gli endpoint del piano di controllo
Per le operazioni di gestione Key Vault (CRUD e impostazione dei criteri di accesso), l'applicazione client key vault deve accedere agli endpoint Azure Resource Manager. Per altre informazioni sul piano di controllo rispetto al modello di accesso al piano dati, vedere Fornire accesso a chiavi, certificati e segreti di Key Vault con il controllo degli accessi in base al ruolo di Azure.
| Tipo di operazione | Punto finale:porta |
|---|---|
| Operazioni del piano di controllo di Key Vault tramite Azure Resource Manager |
Globale: management.azure.com:443 Microsoft Azure gestito da 21Vianet: management.chinacloudapi.cn:443 Azure Governo Statunitense: management.usgovcloudapi.net:443 |
| Microsoft API Graph |
Globale: graph.microsoft.com:443 Microsoft Azure gestito da 21Vianet: graph.chinacloudapi.cn:443 Azure Governo Statunitense: graph.microsoft.com:443 |
Endpoint del piano dati
Per tutte le operazioni di gestione e crittografia degli oggetti del key vault (chiavi, segreti e certificati), il client del key vault deve accedere all'endpoint del key vault. Il suffisso DNS dell'endpoint varia a seconda della posizione dell'insieme di credenziali delle chiavi. L'endpoint del key vault ha il formato vault-name.region-specific-dns-suffix, come descritto nella tabella seguente.
| Tipo di operazione | Punto finale:porta |
|---|---|
| Operazioni che includono operazioni crittografiche sulle chiavi; creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti; impostazione o recupero di tag e altri attributi sugli oggetti dell'archivio chiavi (chiavi o segreti) |
Globale: <nome-insiemecredenziali>.vault.azure.net:443 Microsoft Azure gestito da 21Vianet: <nome-insiemecredenziali>.vault.azure.cn:443 Azure Governo Statunitense: <nome-insiemecredenziali>.vault.usgovcloudapi.net:443 |
Intervalli di indirizzi IP
Il servizio Key Vault usa altre risorse Azure come l'infrastruttura PaaS, quindi non è possibile fornire un intervallo specifico di indirizzi IP che Key Vault endpoint di servizio hanno in un determinato momento. Se il firewall supporta solo gli intervalli di indirizzi IP, vedere i documenti relativi agli intervalli IP del data center Microsoft Azure:
L'autenticazione e l'identità (Microsoft Entra ID) sono un servizio disponibile globalmente e possono effettuare il failover in altre regioni o spostare il traffico senza preavviso. In questo scenario aggiungere tutti gli intervalli IP elencati in Autenticazione e indirizzi IP di identità al firewall.
Passaggi successivi
- Configurare la sicurezza di rete per Azure Key Vault
- Secure your Azure Key Vault
- Endpoint di servizio di rete virtuale per Azure Key Vault
- Integrate Key Vault con collegamento privato di Azure
- Authentication in Azure Key Vault
- Per domande su Key Vault, visitare la
pagina di domande e risposte di Microsoft Q&A per Azure Key Vault .